10 полезных советов для повышения безопасности вашего WordPress

10 полезных советов для повышения безопасности вашего WordPress

26 октября 2015 223

WordPress — очень гибкая и простая в освоении CMS, на которой можно реализовать практически любую современную задачу. И это лишь две из десятков других причин ее столь высокой популярности. Нужно понимать, что популярность WordPress высока и в хакерских кругах. Поэтому, никогда не будет лишним обезопасить свой сайт. Тем более, для этого не так уж много и нужно — всего лишь несколько минут свободного времени.

CodeCanyon: Лучшие SEO-плагины для WordPress
CodeCanyon: Лучшие SEO-плагины для WordPress

Предлагаю ознакомиться с 10-ю простыми, но очень полезными советами для повышения безопасности вашего WordPress.

1. Никогда не используйте в качестве имени пользователя администратора дефолтное имя admin. Если по какой-то причине это произошло, просто создайте нового пользователя-администратора, а старого удалите. Перед его удалением WordPress вас спросит с каким пользователем связать публикации удаляемого пользователя.

2. Создавайте сложные длинные пароли с использованием букв, цифр и различных символов. По статистике, самые часто используемые пароли: «123456», «password», «12345678», «qwerty» и «123456789». Естественно, сайты с такими паролями долго не живут. Хорошо, если в ваш пароль будет не словарным словом, в нем будет не менее 15 символов, среди которых будут строчные, заглавные буквы, цифры и символы.

3. Используйте двухфакторную аутентификация. Например, с помощью плагина Rublon или любого другого — выбор достаточно широк. Двухфакторная аутентификация обеспечивает более надежную защиту от несанкционированного проникновения, и уже знакома многим пользователям, использующих интернет-банкинг, сервисы Google, iCloud, DropBox и т.п.

4. Обязательно отключите подсказки в форме авторизации WordPress. Ведь вы же и без подсказок знаете свой логин и пароль, даже если и допустите опечатку. А злоумышленнику эта информация лишь упростит задачу взлома. Для этого необходимо добавить несколько строк кода в файл functions.php.

function no_wordpress_errors(){
  return ‘Hello, world!’;
}
add_filter( 'login_errors', 'no_wordpress_errors' );

5. Используйте плагины только скачанные из официального репозитория WordPress. В крайнем случае, с известных проверенных ресурсов типа CodeCanyon, GitHub, и обязательно имеющие положительные отзывы пользователей. Никогда не устанавливайте взломанные плагины, скачанные с варезников. Конечно, если вам дорог ваш сайт.

6. Своевременно обновляйте WordPress, темы и плагины до актуальных версий. Разработчики регулярно выпускают обновления, в которых закрываются все обнаруженные уязвимости. Актуальные версии не только улучшают производительность и совместимость WordPress, но и существенно снижают вероятность взлома вашего сайта — это факт.

7. Держите ваш WordPress в чистоте. Никогда не храните неиспользуемые плагины и темы на сервере. В крайнем случае, архивируйте.

8. Отключите трэкбэки. Пользы от них мало, а вот неприятностей они вам обязательно принесут. Используя трэкбэки WordPress, злоумышленники могут генерировать с таких сайтов массовые запросы на сайт-жертву, вызывая тем самым масштабную DDoS-атаку. Просто зайдите в настройки обсуждений вашего WordPress и снимите галочку «Разрешить оповещения с других блогов (уведомления и обратные ссылки) на новые статьи».

9. Установите для всех файлов и директорий вашего сайта правильные права доступа. Для директорий — это 755, для файлов — 644. Следует знать, что давая файлу/директории разрешение на запись (или еще хуже полный доступ — 777), вы подвергаете свой сайт серьезной угрозе. Более подробно о правах вы можете узнать в Кодексе WordPress.

10. Запретите просмотр индекса каталогов вашего сайта. Очень часто криво сконфигурированный сервер при отсутствии в директории файлов index.php или index.html отображает список файлов директории. Этим могут воспользоваться злоумышленники. Чтобы этого избежать, добавьте в .htaccess строку:

Options All -Indexes

Кроме того, убедитесь что в директориях wp-content/themes и wp-content/plugins имеется пустой файл index.php.

Автор: Иван Данилин

Практикующий веб-разработчик, специализируюсь на платформе WordPress.

Комментарии

Разгоните свой WordPress

Хостинг-провайдер номер один в России — REG.RU

Подробнее